Cisco: attacchi DNS può minare la fiducia in internet
Sofisticato gruppo di hacker rubinetti ampia serie di vulnerabilità, come parte dei loro global hacking sprea.
Cisco ha divulgato un mucchio di vulnerabilità nei suoi apparati di rete, di cui una imbarazzante bug che ha messo il West tech uomo nero all’interno della società statunitense kit.
Cisco è di dire ai clienti per applicare gli aggiornamenti per 18 ad alta e media vulnerabilità di gravità nei suoi prodotti, oltre a un curioso bug che le etichette di informazione che riguarda il suo Piccolo Business, 250, 350, 350X, e 550X Serie di Interruttori.
Il bug in questi interruttori non sono abbastanza gravi per ottenere il suo stesso identificatore CVE, ma offrono una lezione ben noti i rischi di utilizzo di terze parti componenti open-source in prodotti senza l’esecuzione corretta dei controlli di sicurezza su di loro.
I ricercatori SEC Tecnologie, l’IoT divisione della società di sicurezza SEC Consultare, stavano usando la sua IoT Ispettore bug-hunting software per sondare le immagini del firmware di Cisco Small Business Serie 250 Interruttori e contenuti digitali, chiavi e i certificati emessi a Futurewei Tecnologie.
Futurewei Tecnologie, è la base di R&D braccio di Huawei. A quanto pare in risposta a NOI divieto Huawei con NOI tech, la divisione di ricerca secondo come riferito sta progettando per separare dal Cinese nave madre, e ha vietato Huawei lavoratori dai suoi uffici, lasciò cadere il logo Huawei, e ha creato la sua separate sistema informatico per il personale.
Ma la domanda è: perché un gigante tecnologico come Cisco, che ha citato in giudizio Huawei sui brevetti, mettere il suo rivale Cinese certificati e chiavi nella propria interruttori?
La risposta, stranamente, è che Cisco sviluppatori stavano utilizzando un Huawei-aperti-pacchetto sorgente durante la fase di test e si è dimenticato di rimuovere alcuni componenti.
“Abbiamo notato Huawei certificati utilizzati nel firmware. E data la polemica politica non vogliamo speculare ulteriormente,” Florian Lukavsky, CEO di SEC Tecnologie, ha detto a ZDNet.
I certificati sono stati parte di un pacchetto di test di un componente di origine chiamato OpenDaylight. Conteneva alcuni script di test e dati, incluso il Huawei-i certificati emessi.
OpenDaylight è un progetto open-source focalizzata sul software-defined networking che include Cisco, Huawei, e di altre importanti società di rete.
“Questo è come i certificati finito nel firmware. Essi sono stati utilizzati in fase di test da parte di Cisco sviluppatori e che semplicemente dimenticato di rimuovere i certificati prima della spedizione per i dispositivi,” ha detto Lukavsky.
Ha aggiunto che i certificati non sono stati attivamente utilizzato e sono presenti solo sul file system.
“La nostra ricerca di Cisco, la ricerca non si presentò alcuna indicazione che il problema potrebbe causare una minaccia per i clienti. Ma Cisco rimossi anche alcuni inutili pacchetti software e componenti aggiornati, dove abbiamo avuto la vulnerabilità identificate,” ha detto.
Il file inclusi i certificati e le chiavi rilasciato per il Futuro, vuoti gli hash delle password, inutili pacchetti software, e diverse falle di sicurezza, secondo Cisco consultivo.
Cisco ha offerto questa spiegazione per la situazione:
Una X. 509 certificate con la corrispondente chiave pubblica/privata e il corrispondente certificato della CA principale sono stati trovati Cisco Small Business Serie 250 Switch firmware. SEC Consultare la chiama ‘Casa di Tasti’. Entrambi i certificati sono emessi da entità di terze parti Futurewei Tecnologie, un Huawei controllata.
I certificati e le chiavi in questione fanno parte di reti Cisco FindIT Sonda che viene fornito in bundle con Cisco Small Business 250, 350, 350X, e 550X Serie di Switch firmware. Questi file sono parte del OpenDaylight pacchetto open source. Il loro utilizzo previsto è per testare le funzionalità del software che utilizza OpenDaylight routine.
Cisco FindIT team ha utilizzato i certificati e le chiavi per la loro destinazione scopi di test durante lo sviluppo di reti Cisco FindIT Sonda; essi non sono mai stati usati per vivere funzionalità in qualsiasi versione di spedizione del prodotto. Tutte le versioni di Cisco FindIT Rete Sonda di utilizzare in modo dinamico creato certificati, invece.
L’inclusione dei certificati e delle chiavi dal OpenDaylight pacchetto open-source in software per la spedizione e stata una svista da parte di Cisco FindIT team di sviluppo.
Cisco ha rimosso i certificati e le chiavi associate da FindIT Rete Sonda software e Piccole imprese (250, 350, 350X, e 550X Serie di Switch firmware di partenza con le versioni elencate di seguito in questo advisory.
Di più su Cisco e di sicurezza
Huawei sicurezza: la Metà dei suoi kit e ‘almeno un potenziale backdoor’Nuovo Cisco bug critici: 9.8/10-gravità Nexus falle di sicurezza hanno urgente bisogno di aggiornareCisco critici-difetto di avviso: Questi due bug nel nostro data center di marcia bisogno di patch ora
Cisco avviso: Patch di questo pericoloso bug aperto ad attacchi remoti tramite annunci dannosiThrangrycat difetto consente agli aggressori impianto persistente backdoor su Cisco gearCisco attenzione: la Patch ora, critico SSH difetto interessa Nexus 9000 tessuto switchCisco avverte critiche router difettoCisco: Questi sono i difetti DNS dirottatori sono loro attacchiCisco pasticciato RV320/RV325 patch, router ancora esposti a hackCisco dice interruttore Nexus proprietari per disattivare POAP funzione per motivi di sicurezzaCisco: Patch router ora contro la massiccia 9.8/10-gravità buco di sicurezzaCome migliorare la sicurezza informatica per il tuo business: 6 consigli di TechRepublicNuovo cybersecurity strumento consente alle aziende di Google i loro sistemi per gli hacker di CNET
Argomenti Correlati:
Cina
Cloud
Internet delle Cose
Sicurezza
Centri Dati